Individuato dalla casa bolognese Yoroi, ha infettato PC di grandi aziende ed enti pubblici italiani. Al momento non è ancora chiarissimo il suo comportamento
Sfruttando un po’ “l’effetto sorpresa” e un po’ un lavoro ineccepibile fatto a livello di social engineering, nel giro di pochi giorni gli hackersono riusciti a colpire importanti aziende ed enti pubblici italiani. Nella lista delle vittime (circa 80, fino a pochi giorni fa), infatti, troviamo Aci, Fineco e Autostrade oltre ai comuni di Brescia e Bologna, il Ministero dell’Interno e la Camera dei Deputati.
Insomma, nomi altisonanti per un attacco hacker che, al momento, presenta ancora molti punti da chiarire. Di TaxOlolo (questo il nome del malware responsabile della cyberoffensiva), infatti, si devono ancora comprendere alcuni meccanismi e, soprattutto, gli effetti. Gli esperti di Yoroi, società di sicurezza informatica che ha scoperto il software malevolo, ne stanno ancora analizzando a fondo il funzionamento e non vogliono lasciarsi andare a conclusioni affrettate. Certo è che non si tratta di un attacco “di studio”: gli hacker hanno voluto colpire per fare male.
TaxOlolo si sta rapidamente diffondendo via posta elettronica camuffato – come lascia intendere il nome – da cartella esattoriale. I messaggi email si presentano con oggetti come “Codici Tributo Acconti” o anche “F24 Acconti-Codice Tributo 4034”. E se a una prima occhiata vi sembrano nomi buttati a caso, non è affatto così: si tratta di codici relativi a moduli fiscali noti a chi lavora nelle amministrazioni di grandi aziende o enti pubblici. Insomma, un attacco phishing mirato e ben costruito, teso ad attaccare i dipartimenti amministrativi di grandi realtà, produttive e non, italiane.
L’attacco di TaxOlolo, però, è effettivo solo se si apre il link presente nel corpo del testo dell’email: sul PC del malcapitato verrà scaricato il file “1t.exe”, che si autoinstalla e spalanca le porte a un malware della famiglia GootKit. Al momento non è ancora chiaro quale sia lo scopo dell’attacco, con i ricercatori di sicurezza informatica di Yoroi che tentano di capire quali siano gli effetti del malware.
Come difendersi da TaxOlolo
Fortunatamente, gli hacker hanno commesso un piccolo errore. Nonostante i messaggi di posta siano perfetti (sia nell’oggetto, sia nel corpo del testo), l’indirizzo del mittente è “in chiaro” e permette di capire che si tratta di un attacco phishing. Se l’occhio cade sull’indirizzo di chi ci invia la cartella esattoriale scopriamo che si tratta di “info@amber-kate.com” o “info@fallriverproductions.com”: evidentemente non collegati in alcun modo con l’Agenzia delle entrate o chi per essa.
Insomma, basta fare un po’ di attenzione per evitare di cadere nella trappola degli hacker ed evitare così di infettare il proprio PC con il malware legato a TaxOlolo. Va poi ricordato di non aprire alcun link o file allegato a meno che non si sia certi del mittente: in caso di dubbi è sempre meglio evitare di compiere azioni di cui ci potremmo ben presto pentire.